[samba] PDC , kan niet authenticeren - Linux en overige clients

donderdag 9 november 2006 02:48

Acties:

omdat het kan

Topicstarter

Hoi

Voor een klein projectje heb ik een samba doos en die moet als PDC gaan fungeren zodat wat windows clients in kunnen loggen .

Nu ben ik om dat te testen eerst eens aan het uitrollen geweest met mijn school-install (winXP pro) en samba3 op gentoo.

nu is het zo dat ik met die xp-doos in wil loggen op het domein via computernaam wijzigen, domein en dan moet ik user+pass adden.
boudewijn en *pass* neem ik dan, deze heb ik vantevoren met smbpasswd -a toegevoegd.

Vervolgens kan windows de gebruikersnaam niet vinden zegt hij.
dit is het relevante smb.conf deel:

code:

[global]
workgroup = X.org
passdb backend = tdbsam
os level = 34
preferred master = auto
domain master = yes
local master = yes
security = user
domain logons = yes
logon path = \\%N\profiles\%U
logon drive = H:
logon home = \\homeserver\%U\winprofile
logon script = logon.cmd

ik heb ook smbpasswd als backend gebruikt maar dat hielp ook niet.
in de logjes:
nmdb.log:

code:

1
2
3

  process_name_refresh_request: unicast name registration request received for name USER-72F997C962<00> from IP 10.0.0.13 on subnet UNICAST_SUBNET.
[2006/11/09 02:45:43, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(173)
  Error - should be sent to WINS server

Google gedaan en Got-Search (veel 2003 topics) maar niet echt wat gevonden.
kan iemand me een bump in de goede richting geven?

Zaram module kopen voor je glasvezelaansluiting?

donderdag 9 november 2006 08:47

Acties:

Verwijderd

Ik denk dat deze howto je wel kan helpen http://www.xs4all.nl/~bruijn9/docs/sambapdc/sambapdc.pdf

donderdag 9 november 2006 09:30

Acties:

cherwin

Ik heb geen ervaring met samba in een domein omgeving, maar ik weet wel dat je het gebruikersnaam en wachtwoord van jouw domain admin moet opgeven. Alleen die heeft het recht om computers aan te melden op het domein. Je kunt ook andere gebruikers het recht geven (e.g. boudewijn) om dat te doen.

Wellicht vind je hier nog wat nuttigs:

http://www.google.com/sea...primary+domain+controller
http://www.suse-linux.nl/...hp?page=documentatie&id=6

edit:
Doe ook een search op "domain admin group"

[ Voor 21% gewijzigd door cherwin op 09-11-2006 09:54 ]

Tell me your problem, not the solution you think I should build for you.

donderdag 9 november 2006 09:33

Acties:

doelman

In Windows, vul je dan bij username in Domein\Boudewijn?

Mijn pianomuziek: http://www.youtube.com/user/doelman

vrijdag 10 november 2006 00:03

Acties:

Boudewijn

omdat het kan

Topicstarter

ok ik heb gedaan:

X.org\boudewijn als usert.

In mijn nmbdlog:

code:

  *****
[2006/11/10 00:02:23, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
  *****

  Samba server DIONYSOS is now a domain master browser for workgroup X.ORG on subnet 10.0.0.4

  *****
[2006/11/10 00:02:38, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  *****

  Samba name server DIONYSOS is now a local master browser for workgroup X.ORG on subnet 192.168.1.4

  *****
[2006/11/10 00:02:38, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  *****

  Samba name server DIONYSOS is now a local master browser for workgroup X.ORG on subnet 10.0.0.4

  *****

log.smbd

code:

dionysos samba # cat log.smbd
[2006/11/10 00:02:15, 0] smbd/server.c:main(805)
  smbd version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/11/10 00:02:15, 0] param/loadparm.c:map_parameter(2641)
  Unknown parameter encountered: "wins"
[2006/11/10 00:02:15, 0] param/loadparm.c:lp_do_parameter(3386)
  Ignoring unknown parameter "wins"
[2006/11/10 00:02:15, 1] param/params.c:Parameter(385)
  params.c:Parameter() - Ignoring badly formed line in configuration file: write list
[2006/11/10 00:02:15, 1] param/params.c:Parameter(385)
  params.c:Parameter() - Ignoring badly formed line in configuration file: ~
[2006/11/10 00:02:15, 1] param/params.c:Parameter(385)
  params.c:Parameter() - Ignoring badly formed line in configuration file: ~
[2006/11/10 00:02:16, 1] smbd/service.c:make_connection_snum(693)
  user-72f997c962 (10.0.0.13) connect to service boudewijn initially as user boudewijn (uid=1000, gid=100) (pid 19714)

iemand nog ideeen?

Zaram module kopen voor je glasvezelaansluiting?

vrijdag 10 november 2006 09:38

Acties:

Verwijderd

Je log geeft aan dat er fouten in de config staan aar dat terzijde.

Om het PC op een samab domein aan te kunnen melden moet je het volgende hebben:

Domein controller
Administrator account. ( een smbpasswd -a root is genoeg )
Computer account. je kan dit automatisch door samba laten maken door de config regel add machine script te gebruiken.

Als dit gelukt is en moet je er per user ook voor zorgen dat hun profielmap aanwezig is en schrijfbaar is door de gebruiker. Zo ook hun home map ( beide worden NIET automatisch aangemaakt )

dinsdag 21 november 2006 22:02

Acties:

Boudewijn

omdat het kan

Topicstarter

ik ben er weer eens mee bezig.
Even de stappen die ik onderneem:

Config:

code:

dionysos samba # cat /etc/samba/smb.conf
[global]

netbios name=dionysos
#workgroup=X.nl
workgroup=X.org
encrypt passwords=yes

domain master=yes
local master=yes
preferred master=yes
os level=65
security=user
domain logons=yes

logon path=\\%L\profiles\%u\%m
logon script=logon.bat
logon drive=H:
#win9x setting
logon home=\\%L\%u\.win_profile\%m

time server =yes
domain admin group=admin boudewijn administrator
add user script=/usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u



#losse settings
debug level = 1
interfaces = eth0 eth1 lo
hosts deny = ALL
hosts allow = 192.168.1.0/24 127.0.0.1 10.0.0.0/28
hide unreadable = yes
hide dot files = yes



[netlogon]
path = /usr/local/samba/lib/netlogon
writable = no
browseable = no

[profiles]
path = /home/samba-ntprof
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700

[muziek]
comment = De netwerkschijf
path = /home/muziek
read only = No
guest ok = yes
nt acl support = No

[algemeen]
comment = De netwerkschijf
path = /home/algemeen
read only = No
guest ok = yes
nt acl support = No

[homes]
guest ok = no
read only = no
browseable = no

Ik pak win XP pro, ga naar identificatie.
Domein: X.org
Daarna bij user: X.org\boudewijn en mijn pass van gewone samba account.

Het logje:

code:

dionysos samba # cat log.nmbd
[2006/11/21 21:55:06, 0] nmbd/nmbd.c:main(727)
  Netbios nameserver version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2006/11/21 21:55:06, 0] param/loadparm.c:map_parameter(2641)
  Unknown parameter encountered: "domain admin group"
[2006/11/21 21:55:06, 0] param/loadparm.c:lp_do_parameter(3386)
  Ignoring unknown parameter "domain admin group"
[2006/11/21 21:55:06, 0] nmbd/nmbd_logonnames.c:add_logon_names(163)
  add_domain_logon_names:
  Attempting to become logon server for workgroup X.ORG on subnet 192.168.1.4
[2006/11/21 21:55:06, 0] nmbd/nmbd_logonnames.c:add_logon_names(163)
  add_domain_logon_names:
  Attempting to become logon server for workgroup X.ORG on subnet 10.0.0.4
[2006/11/21 21:55:06, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(282)
  become_domain_master_browser_bcast:
  Attempting to become domain master browser on workgroup X.ORG on subnet 192.168.1.4
[2006/11/21 21:55:06, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(295)
  become_domain_master_browser_bcast: querying subnet 192.168.1.4 for domain master browser on workgroup X.ORG
[2006/11/21 21:55:06, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(282)
  become_domain_master_browser_bcast:
  Attempting to become domain master browser on workgroup X.ORG on subnet 10.0.0.4
[2006/11/21 21:55:06, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(295)
  become_domain_master_browser_bcast: querying subnet 10.0.0.4 for domain master browser on workgroup X.ORG
[2006/11/21 21:55:10, 0] nmbd/nmbd_logonnames.c:become_logon_server_success(124)
  become_logon_server_success: Samba is now a logon server for workgroup X.ORG on subnet 192.168.1.4
[2006/11/21 21:55:10, 0] nmbd/nmbd_logonnames.c:become_logon_server_success(124)
  become_logon_server_success: Samba is now a logon server for workgroup X.ORG on subnet 10.0.0.4
[2006/11/21 21:55:14, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
  *****

  Samba server DIONYSOS is now a domain master browser for workgroup X.ORG on subnet 192.168.1.4

  *****
[2006/11/21 21:55:14, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
  *****

  Samba server DIONYSOS is now a domain master browser for workgroup X.ORG on subnet 10.0.0.4

  *****
[2006/11/21 21:55:29, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  *****

  Samba name server DIONYSOS is now a local master browser for workgroup X.ORG on subnet 192.168.1.4

  *****
[2006/11/21 21:55:29, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
  *****

  Samba name server DIONYSOS is now a local master browser for workgroup X.ORG on subnet 10.0.0.4

  *****
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(172)
  process_name_refresh_request: unicast name registration request received for name Y<20> from IP 10.0.0.7 on subnet UNICAST_SUBNET.
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(173)
  Error - should be sent to WINS server
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(172)
  process_name_refresh_request: unicast name registration request received for name Y<00> from IP 10.0.0.7 on subnet UNICAST_SUBNET.
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(173)
  Error - should be sent to WINS server
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(172)
  process_name_refresh_request: unicast name registration request received for name X.ORG<00> from IP 10.0.0.7 on subnet UNICAST_SUBNET.
[2006/11/21 21:56:56, 0] nmbd/nmbd_incomingrequests.c:process_name_refresh_request(173)
  Error - should be sent to WINS server

Ik zie even niet in wat ik fout doe (heb het aan de hand van de O Reilly gedaan btw).
Iemand een hint?

Zaram module kopen voor je glasvezelaansluiting?

dinsdag 21 november 2006 23:11

Acties:

Verwijderd

Je moet ook een computer account aanmaken! (Heb ik al eens gezegd)

smbpasswd -a -m werkstation (ofzo)

woensdag 22 november 2006 00:22

Acties:

Boudewijn

omdat het kan

Topicstarter

code:

dionysos samba # smbpasswd -a -m laptop
Failed to initialise SAM_ACCOUNT for user laptop$. Does this user exist in the UNIX password database ?
Failed to modify password entry for user laptop$
dionysos samba # useradd laptop
dionysos samba # smbpasswd -a -m laptop
Failed to initialise SAM_ACCOUNT for user laptop$. Does this user exist in the UNIX password database ?
Failed to modify password entry for user laptop$

even zoeken wat dit nou weer is

ok nu zelfs een UNIX user genaamd laptop aangemaakt en een samba user (met smbpasswd -a -g):

code:

dionysos samba # useradd laptop ; passwd laptop
useradd: user laptop exists
New UNIX password:
BAD PASSWORD: it is WAY too short
Retype new UNIX password:
passwd: password updated successfully
dionysos samba # smbpasswd laptop
New SMB password:
Retype new SMB password:
Failed to find entry for user laptop.
Failed to modify password entry for user laptop

klote.

edit2:

code:

dionysos samba # useradd laptop$ ; passwd laptop$
New UNIX password:
BAD PASSWORD: it is WAY too short
Retype new UNIX password:
passwd: password updated successfully
dionysos samba # smbpasswd -a -m laptop
Added user laptop$.
dionysos samba # smbpasswd -a -m laptop

Beter... maar ik heb nog steeds een onbekende-gebruikers-of-password-fout in windows.

[ Voor 50% gewijzigd door Boudewijn op 22-11-2006 00:43 ]

Zaram module kopen voor je glasvezelaansluiting?

woensdag 22 november 2006 20:10

Acties:

M@rijn

Ik moet zeggen als je de volgende howto/info gebruikt:

http://gentoo-wiki.com/HOWTO_Implement_Samba_as_your_PDC

Ik heb het geprobeerd in een vmware omgeving en roaming profiles werken zelfs beter dan ik had verwacht. Dankzij die info

woensdag 22 november 2006 21:48

Acties:

Boudewijn

omdat het kan

Topicstarter

hmmm daar ga ik dan zo eens even naar kijken.
wel vreemd dat een O Reilly dan niet kloppende info heeft

(zijn toch wel de betere boeken over het algemeen)

Zaram module kopen voor je glasvezelaansluiting?

woensdag 22 november 2006 22:25

Acties:

Verwijderd

Het kan zijn dat je je unix account met een $ op het einde aan moet maken dus useradd laptop$. Ik neem dat je wel google hebt gebruikt?

Het staat vol met zinvolle info

Deze howto heb ik gebruikt:
http://www.howtoforge.com/samba_setup_ubuntu_5.10_p4

woensdag 22 november 2006 23:20

Acties:

Verwijderd

is je computer naam ook "laptop" ?

en de gebruiker waarmee je de computer wilt aanmelden in het domein moet een domain administrator zijn

[ Voor 60% gewijzigd door Verwijderd op 22-11-2006 23:22 ]

donderdag 23 november 2006 01:07

Acties:

Boudewijn

omdat het kan

Topicstarter

okay ik ben weer verder gegaan.

code:

dionysos samba # /usr/sbin/useradd  -g smbmachines -d /dev/null -c "hades" -s /bin/false hades$
dionysos samba # passwd -l hades$
Password changed.
dionysos samba # smbpasswd -a -m hades
Added user hades$.

heb de unixgroepen smbadmins en smbmachines aangemaakt.

code:

1	domain admin group=admin administrator @smbadmins root

ik heb dus een machine account, en ik heb 'boudewijn' in de groep smbadmins gezet.
die is dus domain admin.

De box heet hades nu, in het domein-aanmeld-venster aangepast in windows.
Geen DNS entry, maar dat lijkt me niet nodig.

Vervolgens aanmelden bij domein:

X.org\boudewijn
<insert password>

User kan niet gevonden worden

password is btw mijn samba password op die doos, dat is hetzelfde als het shell password.

zowel in de docs hierboven als in google als in O reilly zie ik mijn fout niet zitten.

wat erg vaag is, is dit:
[code][2006/11/23 01:05:57, 0] param/loadparm.c:map_parameter(2641)
Unknown parameter encountered: "domain admin group"
[2006/11/23 01:05:57, 0] param/loadparm.c:lp_do_parameter(3386)
Ignoring unknown parameter "domain admin group"
[/code]

die hele optie wordt sinds samba 3 niet meer ondersteund... hoe dan wel?

Zaram module kopen voor je glasvezelaansluiting?

donderdag 23 november 2006 01:25

Acties:

Verwijderd

mbv "net" daarmee kan je bijvoorbeeld "Domain Admins" koppelen aan de unixgroup root en bijvoorbeeld "Domain Users" koppelen aan de unixgroep users.

woensdag 29 november 2006 01:04

Acties:

Boudewijn

omdat het kan

Topicstarter

okay ik ben weer bezig (jaja

)

heb net even de domain admin group geloosd uit de config.
vervolgens als X.org\root en root (alleen) in proberen te loggen.

"windows kan de gebruikersnaam niet vinden"

morgen even dat net commando proberen maar standaard zou root erin moeten zitten.

dit is trouwens mijn smbpasswd:

code:

dionysos boudewijn # cat /var/lib/samba/private/smbpasswd
boudewijn:1000:2D325B90A5FD5C5CF8BA9AFFA79CF270:952800D2128DD6A70B2425777A38A98F:[U          ]:LCT-4564E460:
nobody:65534:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[DU         ]:LCT-00000000:
laptop$:1014:64DEA42BA7C62C34AAD3B435B51404EE:02B576EFCC877FEAF80275CEF4392006:[W          ]:LCT-45638EB6:
hades$:1011:D08C90C64C86FE01AAD3B435B51404EE:D66181BBED877D1EF69D246AA183A722:[W          ]:LCT-4564E33E:
root:0:E041559E094BA5D1902139606B6D16B5:A71FDECB8F8FEA7C900A968B513ABAA8:[U          ]:LCT-456CCD80:

de gentoo-wiki link trouwens ook gelezen (doh, eerst distro-docu doen he

)

[ Voor 4% gewijzigd door Boudewijn op 19-03-2013 22:56 ]

Zaram module kopen voor je glasvezelaansluiting?

woensdag 29 november 2006 13:38

Acties:

Verwijderd

kan je bv wel via de explorer naar //server gaan ofzo?

De Computer opnieuw opstarten wil ook wel eens helpen. Heb ook weleens uren zitten klooien ermee en uiteindelijk de pc opnieuw opgestart en nog eens geporbeerd en het werkte

woensdag 29 november 2006 13:41

Acties:

Boudewijn

omdat het kan

Topicstarter

ja allang een reboot gedaan.
de gewone filesharing features van samba werken ook prima.

ook authenticeren tegen een samba user gaat prima, maar alleen niet bij domeinlogin.

ik moet toch als users dan ingeven:
X.org\root ??

Zaram module kopen voor je glasvezelaansluiting?

woensdag 29 november 2006 14:07

Acties:

Verwijderd

je hoeft niet domain.org\root te doen, alleen root is voldoende, je makt namelijk al de connectie met het domein en de server verwacht ook dat je als domain admin inlogt.

heb je al de oude topics op GoT gelezen? deze waren voor mij zeer bruikbaar zo`n jaar geleden toen ik bezig was met samba. let vooral op dingen als authenticatie en mogelijke wijzigingen die gemaakt moeten worden in het register voordat je lid kan worden van het domein

woensdag 29 november 2006 14:17

Acties:

doelman

Verwijderd schreef op donderdag 23 november 2006 @ 01:25:
mbv "net" daarmee kan je bijvoorbeeld "Domain Admins" koppelen aan de unixgroup root en bijvoorbeeld "Domain Users" koppelen aan de unixgroep users.

Iets als dit bijv.

code:

1
2
3

net groupmap modify ntgroup="Domain Admins" unixgroup=root
net groupmap modify ntgroup="Domain Users"  unixgroup=users
net groupmap modify ntgroup="Domain Guests" unixgroup=nogroup

Mijn pianomuziek: http://www.youtube.com/user/doelman

woensdag 29 november 2006 15:02

Acties:

Boudewijn

omdat het kan

Topicstarter

Verwijderd schreef op woensdag 29 november 2006 @ 14:07:
je hoeft niet X.org\root te doen, alleen root is voldoende, je makt namelijk al de connectie met het domein en de server verwacht ook dat je als domain admin inlogt.

heb je al de oude topics op GoT gelezen? deze waren voor mij zeer bruikbaar zo`n jaar geleden toen ik bezig was met samba. let vooral op dingen als authenticatie en mogelijke wijzigingen die gemaakt moeten worden in het register voordat je lid kan worden van het domein

jep zo'n beetje alles gelezen (topic of 25).
alleen de samba-2.0 meuk niet en alles waar geen xp als client in zit natuurlijk ook niet.

@doelman: gedaan... straks thuis eens proberen

Zaram module kopen voor je glasvezelaansluiting?

woensdag 29 november 2006 21:47

Acties: